Metaverso e cybersecurity, in prospettiva, saranno l’ennesimo binomio della governance IT. Costruire nuove forme di relazione e di servizio, garantendo esperienze immersive e rilevanti in un ecosistema di avatar digitali, infatti, impone alle aziende tutte e considerazioni del caso in termini di sicurezza degli accessi, delle informazioni e degli ambienti a supporto di un’operatività che ieri non c’era. Il metaverso, infatti, è un ambiente operativo cloud distribuito, multi-vendor, immersivo-interattivo a cui gli utenti possono accedere attraverso diverse categorie di dispositivi connessi, fissi e mobili, fornendo uno strato interattivo sopra l’Internet esistente. Il che significa che è difficile identificare le minacce informatiche per uno spazio che non esiste ancora del tutto e che sta ancora evolvendo.
Come gestire i problemi di Privacy e di sicurezza informatica
Certo è che, contraddistinguendosi come un modello di riferimento per migliorare il coinvolgimento e l’esperienza degli utenti (dipendenti, collaboratori, clienti e partner), il metaverso è un tema sempre più dibattuto. Le aziende più lungimiranti si stanno muovendo anche in vista le nuove generazioni dei Zillennial (Millennial e Gen Z) che, in quanto nativi della gamification, sono i più predisposti a interagire attraverso i propri gemelli virtuali. Come sottolineano gli esperti, anche se siamo ancora agli inizi di quello che si sta prospettando l’ennesimo canale a supporto del business, è fondamentale risolvere il binomio Metaverso e cybersecurity con largo anticipo. Prima di una sua affermazione, infatti, è doveroso analizzare i vari rischi di sicurezza informatica ma anche i problemi di privacy che questo nuovo universo virtuale porta con sé.
Perché il metaverso va securitizzato
Il punto di partenza dell’analisi è una comprensione a 360 gradi di che cosa è il metaverso, considerando tutte le varie forme tecnologiche che abilitano le forme di esperienza aumentata e di relazione potenziata. Definirlo un ambiente virtuale in cui le persone si connettono, interagiscono e fanno acquisti, infatti, è solo un aspetto del metaverso. Dal punto di vista tecnologico, la creazione di un alter ego digitale di ogni persona che entra con una propria identità in questa nuova dimensione operativa è il primo punto di attenzione che mostra come metaverso e cybersecurity siano strettamente correlati. Per capire meglio il contesto è necessario fare un distinguo dal punto di vista tecnologico. Esistono, infatti, due forme principali del metaverso: Virtual Reality e Augmented Reality.
#1 Virtual Reality
La realtà virtuale fornisce una realtà artificiale tramite un visore intelligente, che assume il campo visivo dell’utente per fornire un’esperienza immersiva e coinvolgente che può includere non solo l’audio, ma anche il tracciamento della posizione del corpo per consentire alle mani di una persona o ad altre parti del corpo di interagire con l’ambiente virtuale.
#2 Augmented Reality
La realtà aumentata (AR ) è meno immersiva della realtà virtuale, ma a livello visivo offre un infotainment incrementale. Aggiungendo sovrapposizioni virtuali al mondo reale tramite un layer intelligente e dinamico gli utenti hanno ancora una visione normale dell’ambiente circostante, aumentato di informazioni come testi, immagini e video. Anche in questo caso, l’host può vedere la posizione di un utente e indovinarne le intenzioni.
Come ribadiscono gli osservatori è importante notare che nelle esperienze VR, in generale, attualmente non dovrebbero esserci aspettative sui diritti alla privacy mentre negli ambienti AR, dove c’è un punto d’appoggio nel mondo fisico, i diritti alla privacy sono su un terreno più solido.
VR e AR: quali sono le sfide da risolvere
Parlando di metaverso e cybersecurity ambienti VR e AR sollevano diverse domande su più aspetti.
Affidabilità
Nel nascente metaverso, la mancanza di standard condivisi fa sì che gli utenti di un prodotto o di una piattaforma si affidino in tutto e per tutto al proprietario della piattaforma per avere garanzie di sicurezza dell’esperienza. Per quanto si parli da decenni dell’importanza di risolvere nativamente la cybersecurity quando si utilizza una qualche nuova tecnologia, la storia si ripete identica a sé stessa. Anche in passato, infatti, le prime aziende che hanno scelto di utilizzare Second Life hanno dovuto affidarsi completamente a quella piattaforma per la sicurezza, la protezione dell’identità, la privacy e persino le transazioni finanziarie.
Responsabilità
La proprietà che un utente acquista o affitta in un ambiente VR crea molte sfide di sicurezza e privacy che devono essere risolte. Il proprietario dell’immobile ha il diritto di decidere chi può e chi non può entrare? Cosa succede all’interno di queste proprietà? Potrebbero verificarsi transazioni finanziarie o illegali all’interno?
In termini di autenticazione, avere la certezza che gli avatar siano chi dicono di essere è una sfida. Nel caso della telemedicina, ad esempio, come fanno i pazienti a sapere che la persona con cui interagiscono è realmente un medico? Come può un proprietario di un centro medico qualificare le credenziali dei medici prima di consentire loro di esercitare all’interno della sua struttura? Nel caso invece si verifichino frodi, molestie o altre forme di abuso, il proprietario dell’ambiente VR è responsabile? Anche questi aspetti del metaverso e della cybersecurity vanno analizzati nel dettaglio e gestiti.
Riservatezza
Non esistono ancora regolamenti per gli ambienti VR. Data la raccolta e l’analisi invasiva dei dati da parte del proprietario della piattaforma VR del metaverso e il fatto che molti dati vengono costantemente condivisi da utenti sconosciuti all’utente VR, le normative prima o poi arriveranno. Tuttavia, a oggi la protezione o la condivisione di questi dati è completamente a discrezione del proprietario della piattaforma.
Feed pubblicitari
Il proprietario del metaverso ne ha il controllo completo. Proprio come nel mondo reale, dove un banner pubblicitario potrebbe essere posizionato davanti al tuo negozio fisico, gli annunci virtuali possono essere visualizzati davanti al tuo negozio virtuale. Questi annunci possono o meno essere apprezzati dai tuoi clienti, ma non hai alcun controllo su di essi.
Account privilegiati e hacking
L’acquisizione dell’assistenza clienti o degli account amministratore potrebbe comportare una grave compromissione di un ambiente VR che, se non rilevato, potrebbe danneggiare molti utenti.
Punto di accesso compromesso
Poiché l’ingresso nel metaverso VR avviene in genere tramite un visore, la compromissione dell’endpoint del visore potrebbe comportare l’acquisizione completa dell’avatar dell’utente.
Spionaggio
Gli avatar possono cambiare aspetto, il che significa che riunioni, chat personali e altre interazioni sono soggette a spionaggio e intrusione all’insaputa delle parti interessate.
Integrità dei dati
L’AR comporta la sovrapposizione di dati di terze parti, quindi qualsiasi compromissione dell’integrità dei dati potrebbe rappresentare una sfida importante. Se un’app di localizzazione che è stata sovrapposta a un auricolare utilizza dati di posizione errati, ad esempio, potrebbe comportare indicazioni errate fornite all’utente.
Sicurezza fisica
Gli utenti in genere si muovono nel mondo reale con una sovrapposizione AR ma, se gli utenti si immergono troppo negli spazi virtuali, potrebbero perdere il loro senso fisico ambientale e arrecare inconsapevolmente danno a sé stessi o a coloro che li circondano.
Metaverso e cybersecurity: quali sono le 3 componenti da considerare
Quando si parla di metaverso ci sono tre componenti della sicurezza informatica che vanno valutate con molta attenzione:
- la sicurezza informatica della piattaforma di hosting
- la sicurezza informatica della proprietà (affittuari sulla piattaforma)
- la sicurezza informatica degli utenti della proprietà (consumatori che interagiscono all’interno della proprietà)
Quali sono i rischi per i proprietari della piattaforma
I più grandi giganti della tecnologia stanno investendo nella costruzione delle piattaforme del metaverso. Tuttavia, a causa della mancanza di regolamentazione, le pratiche di sicurezza e privacy sono ancora molto incoerenti il che impatta sulla qualità della User Experience, ma anche sul percepito degli utenti più attenti a questi aspetti. La supervisione delle piattaforme del metaverso richiede un intervento proattivo e reattivo.
È importante creare un team di supervisione amministrativa completo supportato da una strategia di sicurezza abilitata dall’intelligenza artificiale (AI). Utilizza gli insight dell’IA per identificare in modo proattivo eventuali abusi, comportamenti scorretti o false dichiarazioni e agire tempestivamente. Dovrebbero esserci anche meccanismi per i proprietari di immobili e i loro clienti per sollevare da problemi di sicurezza e privacy. I proprietari delle varie piattaforme dovrebbero cogliere l’opportunità di collaborare per definire una serie di mandati e di best practice, accettando di aderire a un rigoroso codice di condotta. Una scelta che confermerebbe una forte consapevolezza della necessità di armonizzare metaverso, cybersecurity e maggiori capacità di leadership.
Quali sono i rischi per i proprietari/locatari di immobili
I proprietari di immobili nel metaverso dovrebbero prendersi il tempo necessario per comprendere la sicurezza e la privacy della piattaforma su cui sono ospitati, esaminare i servizi che stanno creando e/o utilizzando sulla piattaforma per adottare misure consone a garantirne la sicurezza e la privacy. Il tutto senza dimenticare di tradurre regole e dinamiche di servizio in una forma comprensibile per gli utenti.
Gli utenti di immobili virtuali, infatti, includono clienti, partner e ospiti, tutti o alcuni dei quali sono neofiti del metaverso. Rispetto al binomio metaverso e cybersecurity, in molti casi anche i proprietari/locatari di immobili sono neofiti per cui le pratiche di sicurezza informatica e privacy sono assenti o male interpretate, travisate o semplicemente ignorate.
I dati dell’utente nel metaverso includono spesso dati sensibili, da quelli fisiologici a quelli sociali, includendo persino opzioni di geolocalizzazione. È importante che i proprietari delle proprietà comprendano quali dati degli utenti vengono raccolti dal fornitore della piattaforma e quali dati degli utenti stanno raccogliendo. Il che significa fornire, in una forma comprensibile all’utente, quali sono questi dati, perché vengono raccolti e quali diritti hanno i loro clienti.
Metaverso e cybersecurity: quali sono i rischi per gli utenti
L’uso di cuffie dotate di sensori e tracker per fornire un’esperienza coinvolgente può far sì che i consumatori non si rendano conto o non prestino attenzione a come e quanto dei loro dati personali vengono raccolti. I consumatori sono a rischio perché, a differenza del mondo reale, che dispone di atti sulla privacy dei dati che rafforzano i consumatori, come GDPR e CCPA, a oggi non esiste un equivalente nel metaverso.
La mancanza di processi di verifica delle credenziali, in particolare per la manifestazione dell’avatar, mette a rischio gli utenti. I deepfake stanno diventando sempre più diffusi nei video, così come le imitazioni nelle teleconferenze. Ecco perché metaverso e cybersecurity rappresentano una grossa sfida per tutti.
I diritti di comunicazione, infatti, variano a seconda della piattaforma utilizzata. Nei mondi AR, i diritti di comunicazione coprono le interazioni da fisico a virtuale, così come le interazioni da virtuale a virtuale. In un universo VR, tutte le interazioni sono virtuali. Gli utenti devono sforzarsi di comprendere le tutele di sicurezza e privacy impiegate dal fornitore della piattaforma e dal proprietario della proprietà. Spetta al consumatore porre domande al fornitore della piattaforma e al proprietario dell’immobile. Quali dati vengono raccolti? Per quanto tempo verrà conservato? Quali diritti sui dati esistono per eliminare questi dati?
I consumatori oltre a essere vigili e attenti nel condividere qualsiasi informazione, devono poter contattare in modo proattivo i titolari della proprietà per la verifica in caso di dubbi. Questo presuppone, da parte dei proprietari, un canale di comunicazione predisposto.
Importanza della sicurezza informatica nel metaverso
Il successo del metaverso dipende dalla fiducia che i proprietari della piattaforma riescono a trasmettere ai propri utenti, ovvero proprietari/affittuari. Propri per questo, metaverso e cybersecurity saranno dei pilastri fondamentali rispetto alla costruzione di una connessione basata sulla fiducia. I clienti sono più consapevoli della sicurezza informatica a causa delle violazioni dei dati e degli attacchi informatici che hanno visto nel mondo reale. È fondamentale per la reputazione dei proprietari della piattaforma dimostrare di poter proteggere le informazioni sensibili dei clienti.
Mantenere una visione della sicurezza bimodale
Ogni azienda che opera nel metaverso continuerà per molto tempo anche a essere presente nel mondo fisico e forse per sempre. Ciò significa che le organizzazioni hanno una doppia esistenza: all’interno del metaverso e al di fuori di esso. Qualsiasi violazione della sicurezza, furto di identità o negazione del servizio nel mondo del metaverso può avere un effetto di ricaduta sul mondo reale, offuscare la reputazione e diminuire il business. Al contrario, un’esperienza nel metaverso positiva potrebbe migliorare il business nel mondo reale dell’organizzazione. Dal momento che a oggi l’ambiente normativo per il metaverso è inesistente, i proprietari di piattaforme che coniugano nativamente metaverso e cybersecurity mettendo al primo posto un’esperienza sicura per il cliente, possono usare la propria mission come potente strumento di marketing per guidare la crescita del business nella fase iniziale.
Metaverso e cybersecurity: 6 punti di attenzione
Ecco un elenco di controllo di alcune delle sfide di sicurezza comuni che esistono nel metaverso:
#1 Customer service
Nella maggior parte dei metaversi non è ancora stato predisposto un servizio di supporto agli utenti, ad esempio nel caso del furto di token non fungibili.
#2 Identità
Le identità degli utenti nel metaverso possono essere falsificate, i loro account possono essere violati e i loro avatar possono essere rilevati. È fondamentale definire gli strumenti necessari a rendere l’identità di una persona come certa.
#3 Vulnerabilità del cliente
I visori VR e AR sono macchine intelligenti, che incorporano software e memoria. Come tutti i dispositivi IoT, possono essere interessanti per il cybercrime. Inoltre, lo spoofing della posizione e la manipolazione del dispositivo consentono agli autori di assumere il controllo delle identità degli utenti e causare il caos dopo essere entrati nel metaverso.
#4 Comunicazioni da utente a utente
L’esperienza del metaverso consiste nel facilitare le comunicazioni da utente a utente. Queste relazioni sono tipicamente costruite attraverso il commercio e dipendono dalla fiducia. Un cattivo attore può causare danni enormi. La necessità di introdurre criteri di moderazione su larga scala è fondamentale e deve essere affrontata prima possibile.
#5 Precisione dei dati
La posizione, la qualità della merce, le recensioni, le informazioni sugli utenti e i dati attendibili di terze parti sono ancorati all’accuratezza, ma garantire l’accuratezza nel metaverso può essere difficile.
#6 Riservatezza
Come notato, non esistono ancora delle normative nel metaverso ma la necessità di raccogliere dati per un’esperienza immersiva veramente personalizzata richiede una vera e propria invasione della privacy. Tuttavia, gli utenti in genere non sono a conoscenza del livello di dati che stanno fornendo. E, a differenza del GDPR e di altri regolamenti, che prevedono requisiti di sovranità regionale, le esperienze virtuali non hanno confini e, pertanto, garantire la privacy è un compito che spetta al proprietario della piattaforma.
